Руководство быстрого развертывания AD RM

Руководство быстрого развертывания AD RM

Перевод статьи на Русский язык
Это руководство предназначено, чтобы помочь вам быстро настроить сервер, выполняющий роль сервера службы управления правами Active Directory (AD RMS) в Windows Server 2008 или Windows Server 2008 R2 так, что вы можете оценить его и решить, если вы хотите сделать более масштабного развертывания в вашей организации. В этом руководстве предполагается, что вы знаете, как выполнять основные задачи администрирования домена Active Directory и Windows Server 2008 компьютер.


Примечание
 
Дополнительные сведения о том, как выполнить простой развертывания AD RMS в Windows Server 2012 для целей оценки, см руководство по лаборатории тестирования: развертывание кластера AD RMS   .

Шаг 1: Подготовка для AD RMS

AD RMS, зависит от других компонентов, которые вам установить и настроить, прежде чем использовать службу.Ваша инфраструктура будет отвечать основным требованиям, после того, как вы выполните следующие задачи:

  1. Создание леса Active Directory на уровне Windows Server 2003 или более поздней версии. (Если у вас есть существующий лес, который вы хотите использовать для этой цели, вы можете пропустить этот шаг).
  2. В домене Active Directory создайте две учетные записи пользователя:
    • Учетная запись службы AD RMS будет запускаться. Не забудьте настроить параметры пароля учетной записи, чтобы соответствовать политике паролей учетной записи службы вашей организации. Установите  опцию в свойствах учетной записи срок действия пароля не ограничен, убедитесь, что этот параметр выбран.
      Примечание: Корпорация Майкрософт  не рекомендует использовать AD DS и AD RMS на одном сервере в рабочей среде. Если вы решили сделать, необходимо добавить учетную запись службы AD RMS в группу администраторов домена для запуска службы на контроллере домена.
    • Учетной записи, которая будет использоваться для администрирования AD RMS. Добавьте эту учетную запись к группе безопасности "Администраторы предприятия" домена. (Следует удалить учетную запись из этой группы после установки AD RMS.)
  3. Если вы хотите использовать SQL базы данных на отдельном сервере для хранения журнала базы данных конфигурации AD RMS и, настроить сервер под управлением Microsoft SQL server 2005 или более поздней версии и убедитесь, что учетная запись администратора AD RMS имеет привилегии, необходимые для создания базы данных на сервере, при добавлении роли сервера AD RMS.
    Примечание: При установке AD RMS, вы выбираете, где вы хотите, конфигурации и базы данных журналов для хранения. Вы можете выбрать отдельный сервер базы данных, или можно хранить базы данных на внутреннюю базу данных Windows, доступные в Windows Server 2008 и Windows Server 2008 R2. Корпорация Майкрософт рекомендует использовать внутреннюю базу данных только для целей тестирования и оценки. После установки AD RMS нельзя легко изменить базы данных.
  4. Если вы не имеете один уже, получите сертификат layer (SSL) протокол от признанных сертификации, который можно установить на сервере AD RMS перед добавлением роли сервера AD RMS. Если вы не хотите использовать SSL-сертификат для этой цели, вы можете выбрать для установки AD RMS с незашифрованное подключение или с помощью самозаверяющего сертификата. Ни один из этих вариантов рекомендуется использовать в производственной среде, однако.

Шаг 2: Установка и настройка сервера AD RMS

После того, как вы закончили установку необходимых компонентов инфраструктуры для AD RMS, можно добавить и настроить роль сервера AD RMS, выполнив следующие задачи:

  1. Установите Windows Server 2008 или Windows Server 2008 R2 на компьютере и присоединение компьютера к домену Active Directory.
  2. Если вы хотите настроить AD RMS, чтобы использовать аппаратное или программное обеспечение поставщика службы криптографии (CSP) — например, аппаратный модуль безопасности (HSM) — для защиты ключа кластера, убедитесь, что настроена должным образом, CSP. Если вы используете CSP для защиты ключа кластера и добавить еще один сервер в кластер, необходимо вручную переместить ключ кластера на новый сервер, прежде чем добавить роль сервера AD RMS.
  3. Добавьте учетную запись администратора AD RMS для локальной группы администраторов на компьютере.
  4. Войдите в компьютер с помощью учетной записи администратора AD RMS.
  5. Откройте диспетчер сервера, щелкните роли, а затем в диалоговом окне Сводка по ролям щелкнитеДобавить ролии нажмите кнопку Далее.
  6. На странице Выбор ролей сервера выберите пункт Службы управления правами Active Directory, а затем нажмите кнопку Далее.
  7. На странице Службы ролей появляется, информирования вас о служб AD RMS зависимых ролей и компонентов. Убедитесь, что веб-сервер (IIS) и служба активации процессов Windows (списке), очереди сообщений, перечислены и затем нажмите кнопку Добавить требуемые службы ролиНажмите кнопкуДалее три раза до тех пор, пока вы достигнете создать или присоединиться к странице кластер AD RMS.
  8. Убедитесь, что выбран параметр создать новый кластер AD RMS и нажмите кнопку Далее(Если этот параметр недоступен, это означает, что корневого кластера AD RMS уже существует в лесу, и вы не можете создать еще один корневой кластер AD RMS там.)
  9. Выберите сервер базы данных, который вы хотите использовать:
    1. Если вы не используете внутренняя база данных Windows, выберите использовать другой сервер базы данных.
    2. В поле сервер введите имя сервера
    3. Нажмите кнопку получить экземпляры баз данных, а затем выберите экземпляр базы данных, который вы хотите использовать.
    4. Нажмите кнопку проверить, а затем нажмите кнопку Далее.
  10. На странице Укажите учетную запись службы щелкните указать, введите учетные данные учетной записи домена, учетной записи службы AD RMS, нажмите кнопку ОК и затем нажмите кнопку Далее.
  11. На странице Настройка AD RMS кластера ключ хранения выберите метод, который вы хотите использовать для защиты ключа кластера:
    • Если вы хотите хранить ключ кластера в базе данных конфигурации AD RMS, выберитеиспользовать AD RMS в централизованном хранилище ключей, нажмите кнопку Далее, введите пароль для защиты ключа кластера и нажмите кнопку Далее.
    • Если вы хотите хранить ключ кластера в CSP, выберите использовать CSP хранения ключей, нажмите кнопку Далее, выберите CSP, который вы хотите использовать и нажмите кнопку Далее.
  12. Выберите веб-сайт, вы хотите использовать для виртуального каталога AD RMS и нажмите кнопку Далее.
  13. На странице Укажите адрес кластера выберите тип соединения, который вы хотите использовать:
    • Если вы импортировали сертификат SSL для использования с AD RMS веб-сайта, или если вы хотите использовать самозаверяющий сертификат, выберите пункт использовать подключение с шифрованием SSL (https://).
    • Если вы не хотите использовать безопасное подключение (не рекомендуется), выберитеиспользовать незашифрованное подключение (http://).
  14. В поле полное доменное имя введите полное доменное имя адреса для использования внутри организации для доступа к кластеру AD RMS. (В производственной среде, настоятельно рекомендуется создать запись DNS CNAME для этого URL-адреса, так что он может быть изменен без необходимости все права защищены файлы переиздаваться.) Нажмите кнопку проверить, а затем нажмите кнопку Далее.
  15. Если вы используете защищенное соединение, выберите сертификат, вы хотите использовать (если вы не используете безопасное подключение, мастер пропускает этот шаг):
    • Если вы уже импортировали сертификат SSL, или можно импортировать сертификат, выберите пункт выбрать существующий сертификат для шифрования SSL (рекомендуется) и затем выберите сертификат в списке или нажмите кнопку Импорт для импорта сертификата из файла.
    • Если вы хотите использовать самозаверяющий сертификат для целей оценки, выберите командусоздать самозаверяющий сертификат для шифрования SSLПоскольку этот сертификат не выдан признанным сертификационным органом, будет необходимо экспортировать этот сертификат и установить его на всех клиентских компьютерах, которые будут получать доступ к кластеру AD RMS.
    • Если у вас установлен сертификат, но не хотите использовать самозаверяющий сертификат, выберите выбрать сертификат для шифрования SSL, позже.
      Важно:Вы не сможете управлять AD RMS, пока вы импортировать сертификат и настроить AD RMS веб-сайт, чтобы использовать его.
  16. Введите легко запоминаемое имя для сертификата лицензиара сервера, нажмите кнопку Далееи затем нажмите кнопку установить.
  17. После завершения установки, выйдите на сервере AD RMS и удалить учетную запись администратора AD RMS из группы домена «Администраторы предприятия».

     

Шаг 3: Тестирование AD RMS

Теперь, когда AD RMS выполняется на сервере в лесу, можно убедиться, что он работает правильно, выполнив следующие задачи:

  1. Если вы еще не сделали этого, присоединиться к клиентского компьютера под управлением Windows Vista или Windows 7 в домен в лесу.
  2. На клиентском компьютере установите AD RMS-совместимые приложения, такие как предприятия, Professional Plus или Ultimate версии Microsoft Office 2007.
  3. Используйте учетную запись домена для входа на клиентский компьютер, откройте AD RMS-совместимые приложения, с��здать и сохранить защищенный правами документ в общедоступной папке.
  4. Используйте другую учетную запись домена для входа на клиентский компьютер и затем попытаться открыть и изменить документ, созданный на предыдущем шаге. Вашу способность читать или изменять этот документ должны быть под контролем права, указанные в предыдущем шаге. Например, если вам предоставлены все права только для чтения, вы должны быть в состоянии открыть документ, но не изменять его.